邵應昭，丁躍利，張建華，張佳鵬，楊鵬飛，李劍橋

(1.中國空間技術研究院 西安分院，陜西 西安 710100；2.西安電子科技大學，陜西 西安 710071)

0 引 言

隨著信息技術和物聯(lián)網(wǎng)技術的快速發(fā)展，未來信息服務基礎設施將建設互聯(lián)互通的天地一體化信息網(wǎng)絡系統(tǒng)，具備向眾多用戶群體提供網(wǎng)絡化、差異化信息服務的能力。天基信息系統(tǒng)是國家信息化建設的重要基礎性設施，它通過運行在外空間的星載資源實現(xiàn)信息的獲取、傳輸、處理及分發(fā)等功能，獲取全球范圍內(nèi)近實時的態(tài)勢感知情報[1]。天基信息系統(tǒng)作為未來信息服務基礎設施的重要組成系統(tǒng)，將基于嵌入式架構構建網(wǎng)絡化云平臺，以提高天基信息服務基礎設施的整體服務效能[2]。

安全防護保障為天地一體化信息網(wǎng)絡可靠運行的關鍵支撐。有別于地面?zhèn)鹘y(tǒng)網(wǎng)絡，天地一體化信息網(wǎng)絡節(jié)點分布廣泛、體系結(jié)構復雜、信道開放透明、拓撲動態(tài)變化、大尺度傳輸鏈路以及面向全球提供服務保障的網(wǎng)絡特征，使其數(shù)據(jù)傳輸、信息服務等本身就更易受到來自外部的自然干擾和惡意攻擊，這對各方面的安全運行能力提出了更高要求[3-4]。

天基信息系統(tǒng)基于天基網(wǎng)絡化云平臺構建，云平臺面向各類用戶提供云計算、云存儲和數(shù)據(jù)庫檢索等服務，但超大規(guī)模天基用戶的共享資源應用、計算環(huán)境的動態(tài)復雜性、平臺資源的開放性等特性，使得天基網(wǎng)絡體系建設面臨信息安全諸多方面的全新挑戰(zhàn)。一方面，由于空間鏈路的開放性，懷有各種目的外部攻擊者非法入侵天基網(wǎng)絡系統(tǒng)來竊取或者破壞資源，一旦遭受攻擊，將發(fā)生不可估量的損失。另一方面，由于天基嵌入式云平臺資源高度共享，接入平臺的內(nèi)部好奇用戶期望獲取自身權限以外的隱私或保密數(shù)據(jù)，對用戶的隱私數(shù)據(jù)安全也會帶來一定的挑戰(zhàn)。

因此，在構建天基網(wǎng)絡體系云平臺的同時，需構建安全服務體系，面向廣大用戶的應用服務需求，提供安全接入鑒權控制能力和分級權限安全控制能力，從信息安全角度屏蔽非法用戶接入、限制內(nèi)部好奇用戶的越權行為，并保證數(shù)據(jù)的真實性、機密性、完整性和不可否認性。

1 云計算及安全技術發(fā)展概況

1.1 云計算技術發(fā)展概況

云計算是網(wǎng)格計算、并行計算、效用計算、網(wǎng)絡存儲、虛擬化、負載均衡等傳統(tǒng)計算機技術和網(wǎng)絡技術發(fā)展融合的產(chǎn)物[5]。相對傳統(tǒng)計算機系統(tǒng)，使用云計算具有以下優(yōu)勢[6]：

(1)資源共享，低成本：云計算組件通過網(wǎng)絡互聯(lián)，向用戶提供共享服務，降低成本。

(2)應用安全：多用戶以受控方式獨立運行在隔離的虛擬化環(huán)境下，可通過管控虛擬機的權限來提高應用安全性。

(3)資源可伸縮：提供彈性的計算與存儲資源管理服務，以滿足用戶不同的資源需求。

(4)應用快速部署：支持應用動態(tài)部署，快速啟動計算任務。

云計算相關技術已成熟，其發(fā)展歷程大致如下[7]：

20世紀60年代，IBM首先推出虛擬化技術并應用在其7044計算機系統(tǒng)，使得在同一臺物理主機可以同時運行多個物理設備。之后IBM又開發(fā)了型號為Model 67的System/360主機進行虛擬化應用，通過虛擬機虛擬所有的硬件接口，直接運行在底層硬件，使得系統(tǒng)可同時運行多個虛擬設備。

1999年，VMware公司解決了X86硬件平臺的完全虛擬化問題，推出了X86平臺的虛擬機軟件，支持X86平臺上的所有客戶操作系統(tǒng)，虛擬化技術開始走向普通用戶。

2005年～2006年，Intel和AMD推出支持虛擬化技術的處理器和芯片組，實現(xiàn)了硬件輔助虛擬化技術。Amazon采用虛擬化技術提供云計算平臺，取得了商業(yè)上的成功。

2012年，美國風河公司提出嵌入式云計算概念。

嵌入式云計算概念的提出，為天基云平臺構建提供了可能。類似于地面計算由本地單節(jié)點計算發(fā)展到云計算，用戶計算機的配置要求大幅降低，整體系統(tǒng)計算效能大幅提高。空間計算體系由單星計算向云計算系統(tǒng)發(fā)展，將帶來天基計算模式的應用轉(zhuǎn)變，可降低衛(wèi)星或終端用戶的處理資源要求，解決當前衛(wèi)星系統(tǒng)資源利用效率低、共享能力弱的問題。

1.2 云計算安全發(fā)展現(xiàn)狀

云計算發(fā)展面臨許多關鍵性問題,而安全問題首當其沖。并且隨著云計算的不斷普及,安全問題的重要性呈現(xiàn)逐步上升趨勢,已成為制約其發(fā)展的重要因素。Gartner2009年的調(diào)查結(jié)果就已顯示,70%以上受訪企業(yè)的CTO認為近期不采用云計算的首要原因在于存在數(shù)據(jù)安全性與隱私性的憂慮[8-10]。根據(jù)Gartner的調(diào)查報告，超過85%的用戶對云計算的安全性表示關注，用戶對安全性的關注程度超過系統(tǒng)可用性、系統(tǒng)性能等，安全性已成為用戶最為關注的方面[11-13]。

云計算系統(tǒng)不僅面臨著傳統(tǒng)信息系統(tǒng)(或軟件系統(tǒng)等)的安全問題，還面臨著由其運營特點所產(chǎn)生的一些新的安全威脅[11]。云計算在安全方面必須解決好下列問題：多租戶高效、安全的資源共享；租戶角色信任關系保證；個性化、多層次的安全保障機制；以及效率、經(jīng)濟性與安全性兼顧的多屬性服務系統(tǒng)[14]。

現(xiàn)有的云計算安全架構[15]主要分為三類：基于可信根的云計算安全架構試圖通過可信計算的成果從根本上解決云計算的安全問題，但不利于對現(xiàn)有資源的繼承與利用?；诟綦x的云計算安全架構旨在針對所有的租戶構建封閉且安全的運行環(huán)境，從而保證其定制服務的安全性，但其勢必增加租戶間協(xié)作的難度，引起管理成本的提高。安全即服務的架構充分考慮到了租戶的個性化需求，提出以租戶服務要求為導向的云計算安全架構，但是缺乏讓租戶和提供商及時且明晰地獲得各自安全需求的方法。

吸取上述架構優(yōu)點，基于可信系統(tǒng)設計理念，文獻[15]提出了可管、可控、可度量的云計算安全架構，如圖1所示，參考SLA(service-level agreement)確定系統(tǒng)的度量指標體系，采用SOA(service oriented architecture)架構充分滿足用戶的個性化需求，安全架構根據(jù)用戶的差異化需求，分為SaaS(software as a service)、PaaS(platform as a service)、IaaS(infrastructure as a service)三個層面。

圖1 可管、可控、可度量的云計算安全架構

該架構的設計借鑒了安全即服務架構思想，主要包括三個組成部分：云計算安全服務框架、云計算安全技術框架和云計算安全度量框架。安全服務框架主要用于實現(xiàn)租戶的定制化需求，是租戶安全目標的集合；安全技術框架負責管理各種云計算安全機制，也是架構安全方法的集合；安全度量框架提供系統(tǒng)的安全狀態(tài)分析，為租戶和提供商選取安全策略提供數(shù)據(jù)支撐[15]。

2 天基網(wǎng)絡化嵌入式云安全服務平臺構建

天基網(wǎng)絡化嵌入式云安全服務平臺通過計算、存儲和網(wǎng)絡資源的虛擬化，大幅提升資源利用效率、資源共享能力和應用的安全性可靠性，向用戶提供無需關心硬件資源的應用模式。

2.1 天基網(wǎng)絡化嵌入式云安全服務系統(tǒng)物理拓撲

天基網(wǎng)絡化嵌入式云安全服務物理拓撲架構如圖2所示，基于嵌入式資源虛擬化、嵌入式一致性協(xié)議及規(guī)范，可面向廣大用戶，實現(xiàn)天基資源的高效能共享。

在計算平臺領域，通常將計算平臺分為通用計算平臺和嵌入式計算平臺。通用計算平臺一般以X86等復雜指令集處理器為基礎，由于市場規(guī)模大，其CPU處理器、操作系統(tǒng)及相關標準組件相對成熟，在地面云系統(tǒng)中應用廣泛，支持操作系統(tǒng)，可靈活擴展外設，但功耗高、重量重、能效比低，常規(guī)散熱溫控環(huán)境在天基真空環(huán)境中無法提供，硬件、軟件針對天基應用可靠性不足。嵌入式計算平臺通常以精簡指令集處理器為基礎，廣泛應用于可靠性、實時性要求高的領域，目前在軌的計算處理平臺均采用嵌入式架構。

雖然地面云技術已相對成熟并得到很好應用，但考慮天基應用空間和資源受限、能耗比要求高、高可靠、抗輻射等因素，其硬件架構、方案、相關技術并不能直接用于構建天基云系統(tǒng)。結(jié)合云計算的技術優(yōu)勢研究及嵌入式云計算概念的提出，文中提出了嵌入式架構的云計算服務系統(tǒng)，可滿足天基網(wǎng)絡化嵌入式云服務系統(tǒng)的特殊工程應用環(huán)境要求。

天基網(wǎng)絡化嵌入式云服務平臺參考地面云計算技術構建，經(jīng)移植、精簡和定制開發(fā)，最終通過覆蓋全球的多顆綜合衛(wèi)星體構成“天基云系統(tǒng)”。衛(wèi)星間通過高速星間鏈路互聯(lián)并進行資源一致性管理，單顆衛(wèi)星作為“云平臺”，其上部署若干個綜合計算/存儲/網(wǎng)絡“云節(jié)點”，采用虛擬化等云計算技術實現(xiàn)天基計算、存儲、網(wǎng)絡資源集中調(diào)度管理、資源隔離安全、按需供給和充分利用，降低資源閑置率，提高系統(tǒng)整體綜合服務效能。

天基網(wǎng)絡化嵌入式云服務平臺的構建和擴展需要一個循序漸進、不斷完善的過程，系統(tǒng)框架、機制的設計不僅需要兼容現(xiàn)有天基分立系統(tǒng)和后續(xù)部署系統(tǒng)的資源異構性，同時需要支持不同用戶的安全差異性和陸、海、空、天的多源異質(zhì)數(shù)據(jù)安全接入。

天基網(wǎng)絡化嵌入式云服務平臺與用戶的交互及使用流程具體如下：

(1)用戶通過星地接入控制鏈路訪問天基云系統(tǒng)；

(2)天基云系統(tǒng)門戶對用戶進行身份認證；

(3)用戶根據(jù)自身需求向云系統(tǒng)門戶提交計算、存儲、網(wǎng)絡資源申請；

(4)天基云系統(tǒng)門戶根據(jù)用戶權限等級和資源調(diào)配情況，為用戶分配資源；

(5)用戶完成計算任務，向門戶提交資源釋放申請；

(6)門戶釋放資源，將其整合到可用資源池中。

2.2 天基分層式云安全軟件架構

針對天基嵌入式云服務體系需要具備多用戶身份認證、大數(shù)據(jù)安全接入控制、天基安全加密云存儲及安全檢索、計算權限安全控制等能力需求，在充分調(diào)研、研究地面通用云計算軟件層次架構的基礎上，結(jié)合天基云系統(tǒng)與地面系統(tǒng)的差異，提出了如圖3所示的天基分層式云安全軟件架構。

圖3 天基分層式云安全軟件架構

可管、可控、可度量云計算的安全架構基于地面云計算安全架構的理論和技術研究成果，提出了結(jié)合當前主流三類安全架構優(yōu)勢的綜合架構，可為各類云計算安全系統(tǒng)構建提供參考。

天基分層式云安全軟件架構面向天基云系統(tǒng)的應用場景和特殊環(huán)境安全需求，借鑒可管、可控、可度量的架構思路，其構建的天基安全服務框架針對天基特殊環(huán)境及應用場景下的SaaS、PaaS、IaaS三層具體云服務組件進行設計。安全度量部分可實現(xiàn)天基分布式平臺數(shù)據(jù)和用戶數(shù)據(jù)的安全監(jiān)控，并進行安全指標和能力的量化分析，提供給天基用戶，可支持不同用戶選擇適合自身應用場景的安全策略，最終實現(xiàn)天基云系統(tǒng)安全“可度量”。安全架構支持對用戶、權限、時間、流程、系統(tǒng)變更等不同方面的動態(tài)安全管理和控制，可實現(xiàn)天基云系統(tǒng)安全“可管”、“可控”。

天基分層式云安全軟件架構基于天基環(huán)狀網(wǎng)絡物理實體實現(xiàn)部署運行，將天基分布式基礎網(wǎng)絡、計算、存儲資源通過標準萬兆網(wǎng)協(xié)議實現(xiàn)網(wǎng)絡化互聯(lián)，并實現(xiàn)資源的虛擬化和動態(tài)管理控制，面向用戶應用需求，實現(xiàn)天基基礎硬件資源的動態(tài)管理和硬件架構重構。在滿足用戶資源使用、資源共享和應用服務的同時，結(jié)合架構中的安全管理、安全控制、和安全度量等安全策略，保障用戶過程安全和數(shù)據(jù)安全。

軟件架構基于底層硬件資源可以分為基礎服務層(IaaS)、應用支撐層(PaaS)和統(tǒng)一門戶層(SaaS)。在對地面云系統(tǒng)軟件架構進行裁剪的基礎上，增加三大部分組件，添加面向嵌入式硬件資源的輕量虛擬化引擎；添加安全服務、虛擬化安全管理、硬件安全三個層面構建的安全服務體系；添加在軌處理、多源檢索、用戶權限管理等天基應用相關組件。最終構建的天基云系統(tǒng)軟件架構向用戶提供SaaS和PaaS兩層服務，IaaS不對用戶開放，為用戶應用提供虛擬化資源；每一層均涉及安全服務。IaaS基礎層分為虛擬化層和虛擬化管理平臺，虛擬化層運行在操作系統(tǒng)之上，主要對異構資源虛擬化，屏蔽底層差異性，構建天基云系統(tǒng)的計算、存儲、網(wǎng)絡資源池，資源池邏輯統(tǒng)一，向上層提供服務。

天基云系統(tǒng)軟件架構以TPM可信平臺模塊為可信根，可信虛擬機負責密鑰管理和分發(fā)任務，最大程度滿足可信計算關于防旁路、防篡改等基礎要求，為系統(tǒng)提供高級別安全保障。

應用支撐層包括平臺通用應用組件和領域通用組件兩個部分，平臺通用應用組件包括身份認證管理、權限控制、自動化部署、加解密操作、監(jiān)控容錯，身份認證管理采用雙向用戶身份認證，將授權合法用戶接入，屏蔽非法、無效用戶屏蔽；權限控制采用細粒度控制策略，將云平臺的資源和對資源訪問的權限細分，劃分不同的用戶組；自動化部署為用戶的應用提供運行環(huán)境，支撐用戶的應用動態(tài)部署，用戶采用多種開發(fā)語言的應用上傳到云平臺后，將會在底層啟動相應的虛擬機，虛擬機內(nèi)自動安裝應用所需的執(zhí)行運行環(huán)境，應用執(zhí)行完后，相應虛擬機回收釋放資源。加解密操作一方面作為在進行用戶增加等系統(tǒng)操作時產(chǎn)生所需的非對稱密鑰，為大數(shù)據(jù)的流加密提供對稱密鑰等，同時也提供給用戶使用，用戶可以自主調(diào)用加解密模塊在應用內(nèi)實現(xiàn)相應的加解密操作。

3 天基云系統(tǒng)應用安全服務體系構建

天基云系統(tǒng)應用安全服務體系在天基分層式云安全軟件架構中實現(xiàn)，作為操作系統(tǒng)的標準安全控制組件在天基云軟件上部署運行，在嵌入式安全服務總體架構下，基于虛擬化安全隔離等關鍵技術，實現(xiàn)天基資源的安全共享，并保證廣大用戶的接入、檢索和應用安全。

3.1 天基應用安全服務體系架構

天基云系統(tǒng)應用安全架構如圖4所示，采用層次化的云安全策略，可為云系統(tǒng)用戶提供云數(shù)據(jù)安全存儲、隱私保護、可信云計算的服務。

圖4 天基安全服務體系架構

云系統(tǒng)安全架構可以分為云應用、云服務和云基礎服務安全層，不同層引入了相應的安全策略，在云基礎服務層包括基礎設備安全和虛擬機安全，基礎設備安全包括雙機冗余、負載均衡、可信技術和容侵容災四個部分，體現(xiàn)在硬件平臺采用了雙主控板的方式協(xié)同處理大數(shù)據(jù)的接入，監(jiān)控系統(tǒng)監(jiān)控到單主控失效后，在秒級單位內(nèi)將大數(shù)據(jù)接入任務切換到備份主控，提供不間斷服務；在計算單元內(nèi)具有TPM可信平臺模塊，包括隨機數(shù)生成、SHA-1引擎、RSA引擎、非易失性存儲器等，以此為可信計算的信任根，負責保存具有訪問系統(tǒng)權限的用戶和系統(tǒng)自身的公鑰和私鑰，生成對象加密密鑰等；同時硬件層之上的操作系統(tǒng)的內(nèi)核和應用也進行了裁剪，去除不相關的模塊，降低底層因為軟件漏洞等因素被入侵的概率。對虛擬機的安全采用了一系列的安全措施，首先限制虛擬機與外面的通信，對虛擬機設置防火墻，限制可以訪問虛擬機的端口和用戶，同時虛擬機間進行隔離和監(jiān)控，實時監(jiān)控虛擬機的運行狀態(tài)，防止虛擬機內(nèi)運行的應用惡意攻擊系統(tǒng)和其他正常虛擬機，最小化虛擬機內(nèi)應用崩潰等對其他正常應用的影響。同時通過權限控制策略限制不同虛擬機的可訪問資源，保護敏感數(shù)據(jù)不受非法操作。

在云服務層包括訪問控制、安全傳輸和安全云存儲三個部分，訪問控制主要針對用戶，細粒度劃分系統(tǒng)的資源訪問控制權限，將用戶劃分不同安全級別進行資源的使用。安全傳輸包括采用流加密方式將百Gbps數(shù)據(jù)加密傳輸，其他用戶數(shù)據(jù)的傳輸采用非對稱加密傳輸，安全云存儲系統(tǒng)可以根據(jù)數(shù)據(jù)的安全等級采用不同加密算法對數(shù)據(jù)加密，同時利用TPM模塊將加密文件的密鑰存儲在本地磁盤。

云應用層包括身份認證、拒絕服務攻擊屏蔽等，衛(wèi)星接入天基云系統(tǒng)需要進行身份認證，認證完成后即以單點登錄的方式登錄系統(tǒng)，隨后可以訪問系統(tǒng)內(nèi)所有授權的資源，同時用戶數(shù)據(jù)傳輸時采用數(shù)字簽名的方式防止未授權衛(wèi)星等發(fā)送偽造數(shù)據(jù)攻擊系統(tǒng)，采用了雙端口的方式屏蔽拒絕服務攻擊，用戶通過非受控端口與云系統(tǒng)進行雙向身份認證，在完成身份認證后，計算平臺為成功認證后的數(shù)據(jù)源分配一個特定的受控端口；之后，數(shù)據(jù)源可通過云系統(tǒng)的特定受控端口實現(xiàn)到云系統(tǒng)的安全接入。

3.2 面向應用安全的天基嵌入式安全服務策略

天基網(wǎng)絡化嵌入式安全云服務體系的安全服務策略基于圖4所示的安全服務體系架構，均在圖3所示的天基分層式云安全軟件應用層實現(xiàn)，安全服務策略覆蓋用戶與天基云平臺的交互和操作全流程，針對不同的安全威脅，采用不同的安全服務策略。安全服務策略主要包含防護、檢測、響應和恢復四種安全機制，又可細分為七類安全措施，為各類用戶提供接入安全、應用安全、計算安全、系統(tǒng)安全等安全服務。圖5所示為基于PDRR(protect、detect、response、recover)安全模型實現(xiàn)的天基云平臺安全服務策略。

圖5 天基嵌入式安全服務策略

安全服務體系參考PDRR標準安全體系模型，包含防護、檢測、響應、恢復四部分，共七個層次。端口保護以防火墻為主，加密傳輸為輔，屏蔽非法請求；接入控制通過多級安全服務策略實現(xiàn)用戶安全接入認證；檢測部分采用動靜結(jié)合策略，首先提取應用執(zhí)行體特征碼，與已知惡意程序匹配，清除惡意程序，并通過監(jiān)控程序發(fā)送警報，隨后在虛擬環(huán)境下觀察應用調(diào)用系統(tǒng)API接口的動態(tài)，判斷應用合法性；響應部分采用自定義訪問策略和資源隔離的手段，基于SELinux安全模塊定義適用于天基云平臺的安全策略，實時限制非法操作，同時利用虛擬化技術實現(xiàn)應用間的邏輯隔離，切斷非法操作；最后的恢復部分采用動態(tài)監(jiān)控容錯技術，具體為硬件冗余、系統(tǒng)狀態(tài)監(jiān)控和軟件檢查點策略，提高系統(tǒng)遭受攻擊時的頑存性。

4 結(jié)束語

在充分調(diào)研云計算及安全系統(tǒng)發(fā)展歷程及相關關鍵技術發(fā)展的基礎上，結(jié)合天地一體化信息網(wǎng)絡系統(tǒng)對天基信息基礎設施提出的云計算及安全服務體系建設需求，提出了天基網(wǎng)絡化嵌入式云服務平臺構建思路，以及基于嵌入式云服務體系的天基云系統(tǒng)應用安全架構，可提高天基云平臺資源利用效率，實現(xiàn)天基資源高效能共享，并有效解決海量多用戶接入、計算、存儲安全等問題，可為天基嵌入式云計算及安全服務體系構建提供有效參考和借鑒。